Η Cisco έχει προσθέσει νέες δυνατότητες ασφαλείας που μετριάζουν σημαντικά τις επιθέσεις ωμής βίας και ψεκασμού κωδικού πρόσβασης στο Cisco ASA και στο Firepower Threat Defense (FTD), συμβάλλοντας στην προστασία του δικτύου από παραβιάσεις και στη μείωση της χρήσης πόρων στις συσκευές.
Οι επιθέσεις με σπρέι κωδικού πρόσβασης και ωμής βίας είναι παρόμοιες καθώς προσπαθούν και οι δύο να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε έναν διαδικτυακό λογαριασμό μαντεύοντας έναν κωδικό πρόσβασης.
Ωστόσο, οι επιθέσεις με ψεκασμό κωδικών πρόσβασης θα επιχειρήσουν να χρησιμοποιήσουν ταυτόχρονα τους ίδιους κωδικούς πρόσβασης σε πολλούς λογαριασμούς για να αποφύγουν την άμυνα. Αντίθετα, οι επιθέσεις ωμής βίας στοχεύουν επανειλημμένα έναν μόνο λογαριασμό με διαφορετικές προσπάθειες κωδικού πρόσβασης.
Τον Απρίλιο, η Cisco αποκάλυψε ότι οι φορείς απειλών διενεργούσαν μαζικές επιθέσεις ωμής βίας εναντίον λογαριασμών VPN σε μια ποικιλία συσκευών δικτύωσης, συμπεριλαμβανομένων εκείνων από τις Cisco, Checkpoint, Fortinet, SonicWall, RD Web Services, Miktrotik, Draytek και Ubiquiti.
Η Cisco προειδοποίησε ότι οι επιτυχημένες επιθέσεις θα μπορούσαν να οδηγήσουν σε μη εξουσιοδοτημένη πρόσβαση, κλείδωμα λογαριασμού και καταστάσεις άρνησης υπηρεσίας ανάλογα με το στοχευμένο περιβάλλον.
Αυτές οι επιθέσεις επέτρεψαν στη Cisco να ανακαλύψει και να διορθώσει μια ευπάθεια άρνησης υπηρεσίας, η οποία παρακολουθείται ως CVE-2024-20481, η οποία εξαντλούσε τους πόρους σε συσκευές Cisco ASA και FTD όταν δεχόταν τέτοιου είδους επιθέσεις.
Νέες δυνατότητες προστασίας από επιθέσεις brute-force VPN
Αφού χτυπήθηκε με τις επιθέσεις τον Απρίλιο, η Cisco κυκλοφόρησε νέες δυνατότητες ανίχνευσης απειλών σε Cisco ASA και Προστασία από απειλές τείχους προστασίας (FTD) που μειώνουν σημαντικά τον αντίκτυπο των επιθέσεων ωμής βίας και σπρέι κωδικού πρόσβασης.
Αν και αυτές οι δυνατότητες ήταν διαθέσιμες για ορισμένες εκδόσεις λογισμικού από τον Ιούνιο, δεν έγιναν διαθέσιμες για όλες τις εκδόσεις μέχρι αυτόν τον μήνα.
Δυστυχώς, όταν μιλούσαν με ορισμένους διαχειριστές της Cisco, δεν γνώριζαν αυτές τις νέες δυνατότητες. Ωστόσο, όσοι ήταν, ανέφεραν σημαντική επιτυχία στον μετριασμό των επιθέσεων brute-force VPN όταν είναι ενεργοποιημένες οι δυνατότητες.
“Λειτούργησε τόσο μαγικά που οι ωριαίες αποτυχίες 500.000 μειώθηκαν στις 170! από χθες το βράδυ!”, μοιράστηκε ένας διαχειριστής της Cisco στο Reddit.
Αυτές οι νέες δυνατότητες αποτελούν μέρος της υπηρεσίας ανίχνευσης απειλών και αποκλείουν τους ακόλουθους τύπους επιθέσεων:
- Επαναλαμβανόμενες αποτυχημένες προσπάθειες ελέγχου ταυτότητας για απομακρυσμένη πρόσβαση σε υπηρεσίες VPN (επιθέσεις σάρωσης ονόματος χρήστη/κωδικού πρόσβασης με βία).
- Επιθέσεις εκκίνησης πελάτηόπου ο εισβολέας ξεκινά αλλά δεν ολοκληρώνει τις προσπάθειες σύνδεσης σε ένα headend VPN απομακρυσμένης πρόσβασης επαναλαμβανόμενες φορές από έναν μόνο κεντρικό υπολογιστή.
- Η σύνδεση επιχειρεί να μη έγκυρη απομακρυσμένη πρόσβαση στις υπηρεσίες VPN. Δηλαδή, όταν οι εισβολείς προσπαθούν να συνδεθούν σε συγκεκριμένες ενσωματωμένες ομάδες σήραγγας που προορίζονται αποκλειστικά για την εσωτερική λειτουργία της συσκευής. Τα νόμιμα τελικά σημεία δεν πρέπει ποτέ να επιχειρούν να συνδεθούν με αυτές τις ομάδες σήραγγας.
Η Cisco είπε στο BleepingComputer ότι οι επιθέσεις εκκίνησης του πελάτη συνήθως πραγματοποιούνται για την κατανάλωση πόρων, θέτοντας πιθανώς τη συσκευή σε κατάσταση άρνησης εξυπηρέτησης.
Για να ενεργοποιήσετε αυτές τις νέες δυνατότητες, πρέπει να εκτελείτε μια υποστηριζόμενη έκδοση των Cisco ASA και FTD, οι οποίες παρατίθενται παρακάτω:
Λογισμικό ASA:
- Τρένο έκδοση 9.16 -> υποστηρίζεται από 9.16(4)67 και νεότερες εκδόσεις εντός του συγκεκριμένου τρένου.
- Τρένο έκδοση 9.17 -> υποστηρίζεται από 9.17(1)45 και νεότερες εκδόσεις εντός του συγκεκριμένου τρένου.
- Τρένο έκδοση 9.18 -> υποστηρίζεται από 9.18(4)40 και νεότερες εκδόσεις εντός του συγκεκριμένου τρένου.
- Τρένο έκδοση 9.19 -> υποστηρίζεται από 9.19(1).37 και νεότερες εκδόσεις εντός του συγκεκριμένου τρένου.
- Τρένο έκδοση 9.20 -> υποστηρίζεται από 9.20(3) και νεότερες εκδόσεις εντός του συγκεκριμένου τρένου.
- Τρένο έκδοση 9.22 -> υποστηρίζεται από 9.22 (1.1) και τυχόν νεότερες εκδόσεις.
Λογισμικό FTD:
- Τρένο έκδοση 7.0 -> υποστηρίζεται από 7.0.6.3 και νεότερες εκδόσεις εντός του συγκεκριμένου τρένου.
- Τρένο έκδοση 7.2 -> υποστηρίζεται από 7.2.9 και νεότερη έκδοση στο συγκεκριμένο τρένο.
- Τρένο έκδοση 7.4 -> υποστηρίζεται από 7.4.2.1 και νεότερη έκδοση στο συγκεκριμένο τρένο.
- Τρένο έκδοση 7.6 -> υποστηρίζεται από 7.6.0 και τυχόν νεότερες εκδόσεις.
Εάν εκτελείτε μια έκδοση λογισμικού υποστήριξης, μπορείτε να χρησιμοποιήσετε τις ακόλουθες εντολές για να ενεργοποιήσετε τις νέες δυνατότητες.
Για να αποτρέψετε τους παράγοντες απειλής να επιχειρήσουν να συνδεθούν σε ενσωματωμένες ομάδες σήραγγας στις οποίες δεν προορίζονται συνήθως να συνδεθούν, θα πρέπει να εισάγετε αυτήν την εντολή:
threat-detection service invalid-vpn-access
Για να αποτρέψετε επαναλαμβανόμενες προσπάθειες από την ίδια διεύθυνση IP για την εκκίνηση ενός αιτήματος ελέγχου ταυτότητας στην υπηρεσία RAVPN αλλά ποτέ να μην το ολοκληρώσετε, θα χρησιμοποιήσετε αυτήν την εντολή:
threat-detection service remote-access-client-initiations hold-down threshold
Τέλος, για να αποτρέψετε επαναλαμβανόμενα αιτήματα ελέγχου ταυτότητας από την ίδια διεύθυνση IP, θα χρησιμοποιήσετε αυτήν την εντολή:
threat-detection service remote-access-authentication hold-down threshold
Και για τα δύο απομακρυσμένη πρόσβαση-πελάτης-εκκινήσεις και έλεγχος ταυτότητας απομακρυσμένης πρόσβασης χαρακτηριστικά, τα λεπτά και οι μεταβλητές μέτρησης έχουν τους ακόλουθους ορισμούς:
- συγκράτηση ορίζει την περίοδο μετά την τελευταία προσπάθεια εκκίνησης κατά την οποία μετρώνται οι διαδοχικές προσπάθειες σύνδεσης. Εάν ο αριθμός των διαδοχικών προσπαθειών σύνδεσης πληροί το διαμορφωμένο όριο εντός αυτής της περιόδου, η διεύθυνση IPv4 του εισβολέα αποκλείεται. Μπορείτε να ρυθμίσετε αυτή την περίοδο μεταξύ 1 και 1440 λεπτών.
- κατώφλι είναι ο αριθμός των προσπαθειών σύνδεσης που απαιτούνται εντός της περιόδου αναμονής για να ενεργοποιηθεί μια αποφυγή. Μπορείτε να ορίσετε το όριο μεταξύ 5 και 100.
Εάν οι διευθύνσεις IP κάνουν πάρα πολλές αιτήσεις σύνδεσης ή ελέγχου ταυτότητας κατά την καθορισμένη περίοδο, τότε το λογισμικό Cisco ASA και FTD θα αποφεύγωή αποκλείστε τη διεύθυνση IP επ’ αόριστον μέχρι να την καταργήσετε με μη αυτόματο τρόπο χρησιμοποιώντας την ακόλουθη εντολή:
no shun source_ip [ vlan vlan_id]
Ένας διαχειριστής της Cisco ASA μοιράστηκε μια δέσμη ενεργειών που μπορεί να αφαιρέσει αυτόματα όλες τις διευθύνσεις IP που αποφεύγονται κάθε επτά ημέρες Reddit.
Ένα παράδειγμα πλήρους διαμόρφωσης που μοιράζεται η Cisco που ενεργοποιεί και τις τρεις δυνατότητες είναι:
threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20
Ένας διαχειριστής στο Reddit σημείωσε επίσης ότι οι προστασίες εκκίνησης του πελάτη προκάλεσαν ορισμένα ψευδώς θετικά αποτελέσματα στο περιβάλλον τους, αλλά απέδωσαν καλύτερα μετά την επαναφορά των προεπιλογών του συγκράτηση 10 και κατώφλι 20.
Όταν η BleepingComputer ρώτησε εάν υπάρχει κάποιο μειονέκτημα στη χρήση αυτών των δυνατοτήτων εάν είναι ενεργοποιημένο το RAVPN, είπαν ότι θα μπορούσε να υπάρχει πιθανότητα επίδρασης στην απόδοση.
“Δεν υπάρχει αναμενόμενο “μειονέκτημα”, αλλά η πιθανότητα επίδρασης στην απόδοση μπορεί να υπάρχει όταν ενεργοποιούνται νέες δυνατότητες με βάση την υπάρχουσα διαμόρφωση της συσκευής και τον φόρτο κυκλοφορίας”, είπε η Cisco στο BleepingComputer.
Συνολικά, εάν στοχοποιηθήκατε από παράγοντες απειλών που προσπαθούν να εξαναγκάσουν τους λογαριασμούς VPN σας, συνιστάται ανεπιφύλακτα να ενεργοποιήσετε αυτές τις δυνατότητες για τον μετριασμό αυτών των επιθέσεων, καθώς τα παραβιασμένα διαπιστευτήρια VPN χρησιμοποιούνται συνήθως για την παραβίαση δικτύων για επιθέσεις ransomware.
VIA: bleepingcomputer.com
